sudoers

Alles rund um sicherheitsrelevante Fragen und Probleme.
Peter18
Beiträge: 97
Registriert: 14.12.2018 11:56:20

Re: sudoers

Beitrag von Peter18 » 20.02.2024 17:25:09

Ein freundliches Hallo an alle,

meine Versuche blieben bisher ohne Erfolg. Bei dem Backupserver kann ich ein Passwort für root anlegen und mich damit bei "su -" anmelden. Wenn ich die Verbindung mit ssh aufbaue werde ich stets nach dem root-passwort gefragt. (root@10.168.0.2's password:) gebe ich das bei "su -" funktionierende ein, erhalte ich "Permission denied, please try again." Also das gleiche, als wenn ich mich beim Login mit root anmelden will.

Wie kann ich nun eine Datensicherung vom Server auf dem Backupserver durchführen, so dass der richtige Besitzer auch in der Sicherung eingetragen wird??? Jetzt wird immer der Backupuser (bu) eingetragen.

Grüße von der Nordsee

Peter

HumiNi
Beiträge: 325
Registriert: 02.10.2014 21:46:18

Re: sudoers

Beitrag von HumiNi » 20.02.2024 17:47:39

Wenn du nach einem Passwort gefragt wirst, ist deine ssh-Konfiguration falsch: entweder die sshd_config oder der key nicht korrekt hinterlegt.
Gedächtnis wie ein Rechen: Nur Mist bleibt hängen.

niemand
Beiträge: 468
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: sudoers

Beitrag von niemand » 20.02.2024 18:42:40

Peter18 hat geschrieben: ↑ zum Beitrag ↑
20.02.2024 17:25:09
Wenn ich die Verbindung mit ssh aufbaue werde ich stets nach dem root-passwort gefragt. (root@10.168.0.2's password:) gebe ich das bei "su -" funktionierende ein, erhalte ich "Permission denied, please try again."
In der Default-Konfiguration des sshd kann Root sich nicht anmelden, und das ist auch gut so. Wenn du weißt, was du machst, kannst du’s so einstellen, dass sich Root mit Schlüssel, aber nicht mit Passwort anmelden kann. Theoretisch könntest du’s auch so einstellen, dass Root sich mit Passwort und Schlüssel anmelden kann – aber keiner, der sein System zu schätzen weiß, würde das je machen.
„I fought in the Vim-Emacs-War.“ Quelle

ernohl
Beiträge: 1181
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Re: sudoers

Beitrag von ernohl » 20.02.2024 19:30:15

Die Tipps zur sshd_config kamen in diesem Thema schon. Da hat der TO augenscheinlich noch Nachholbedarf.
Das Problem des Einloggens per Key ohne Passwort auf den Backup-Server muss er in den Griff bekommen, selbst wenn er seine Sicherung nicht als root transportiert (was nicht notwendig ist, aber das geht am Thema vorbei).

Peter18
Beiträge: 97
Registriert: 14.12.2018 11:56:20

Re: [gelöst] sudoers

Beitrag von Peter18 » 21.02.2024 14:44:37

Ein freundliches Hallo an alle,

Dank Euch für Eure Antworten!

Ich bin noch mal alles durchgegangen.
In der "/etc/ssh/sshd_config" steht bei dem Server und dem Backup-Server "PermitRootLogin yes".
In der "/root/.ssh/id_ed25519.pub" beim Server steht das gleiche wie in der "/root/.ssh/authorized_keys" beim Backup-Server.
Dabei fiel mir ein, dass ich beim Erzeugen des Schlüssels probeweise ein Passwort eingegeben hatte. Das wollte er natürlich wissen. Bei der ganzen Testerei geht einem schon mal so etwas durch die Lappen.
Aber nun hat es funktioniert!!

Denen, die dass für unsicher halten sei folgendes gesagt: Der Schlüssel liegt bei root vom Server. Damit ist root der Herrscher darüber! Die crontab startet ein Script, das auch bei Root liegt und die Verbindung für die Datensicherung herstellt. Es ist notwendig, die Datensicherung mit root zu betreiben, damit der richtige Eigentümer und nicht bu (Backupuser) eingetragen wird.
Wie sicher ist ein System, wenn sich jeder User mit "sudo [Anweisung]" beinahe root-Rechte verschaffen kann oder mir "sudo -i" zu root werden kann und das ohne Passwort??

Grüße von der Nordsee

Peter

ernohl
Beiträge: 1181
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Re: sudoers

Beitrag von ernohl » 21.02.2024 16:43:47

Die crontab startet ein Script, das auch bei Root liegt und die Verbindung für die Datensicherung herstellt. Es ist notwendig, die Datensicherung mit root zu betreiben, damit der richtige Eigentümer und nicht bu (Backupuser) eingetragen wird.
Auch wenn ich deinen Ansatz der Übertragung des Backups als root mittels ssh-key für sicher halte (sachgemäßen Umgang mit dem Schlüssel vorausgesetzt), widerspreche ich dir bezüglich der Notwendigkeit. Root könnte deine Sicherung in ein Archiv verpacken und ein "gewöhnlicher" Transferuser zum Backup-Server transportieren. Innerhalb des Archivs bleiben alle Dateirechte erhalten. Nur beim Auspacken des Archivs (was nur im Ernstfall notwendig ist) braucht es wieder den privilegierten User.

niemand
Beiträge: 468
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: sudoers

Beitrag von niemand » 21.02.2024 17:33:36

Peter18 hat geschrieben: ↑ zum Beitrag ↑
21.02.2024 14:44:37
Wie sicher ist ein System, wenn sich jeder User mit "sudo [Anweisung]" beinahe root-Rechte verschaffen kann oder mir "sudo -i" zu root werden kann und das ohne Passwort??
Die Frage wurde schon mehr als einmal hier erörtert – in nicht nur meinen Augen ist die Default-Konfiguration, die Debian irgendwann aus irgendeinem Grund von den Buntus übernommen hat, eine krasse Fehlkonfiguration. Andere sehen’s hingegen anders – YMMV

Man kann sudo aber ganz ausgezeichnet konfigurieren und so feingranular vorgeben, was ein Nutzer damit machen kann, und was nicht. In deinem Fall könnte man also beispielsweise dem User ermöglichen, das Backup mit Rootrechten zu fahren – und zwar nur das, nix Anderes.
„I fought in the Vim-Emacs-War.“ Quelle

ernohl
Beiträge: 1181
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Re: sudoers

Beitrag von ernohl » 22.02.2024 19:03:13

@Peter18 - Eine vielleicht etwas ketzertische Frage: Hast du wirklich Hilfe gebraucht oder wolltest du das Forum eher testen?

Antworten